MERHABA ARKADAŞLAR BUGÜN SİZLERE IPV6 ZAFIYETLERINDEN BAHSEDECEĞİM.
IPV4 İLE IPV6 ARASINDAKİ FARKLAR NELERDİR?
IPV4 VE IPV6 ARASINDAKİ FARKLAR ŞUNLARDIR:
ÖZELLİK ADI | IPV4 | IPV6 | ÜSTÜNLÜKLERİ |
ADRES UZUNLUĞU | 32 BİT | 128 BİT | DAHA BÜYÜK ADRES UZAYI |
CHECKSUM BİLGİSİ | İÇERİYOR | İÇERMİYOR | HIZLI YÖNLENDİRME |
BAŞLIKTA YER ALAN OPSİYONLAR | IP OPSİYONLARI BAŞLIKTA YER ALIYOR | KULLANILACAK IP OPSİYONLARI, EK BAŞLIK İLE EKLENİYOR | HIZLI YÖNLENDİRME |
PARÇALAMA | YÖNLENDİRİCİLER VE UÇLAR TARAFINDAN YAPILIYOR | SADECE UÇLARDA YAPILIYOR | HIZLI YÖNLENDİRME |
ADRESLEME | EL İLE DHCP İLE YAPILABİLİR | EL İLE VEYA OTOMATİK DHCP İLE YAPILABİLİR | KOLAY YAPILANDIRMA |
IPSEC DESTEĞİ | IPSEC DESTEĞİ OPSİYONEL | IPSEC DESTEĞİ ZORUNLU | KURULUMDA GELEN IPSEC DESTEĞİ |
UNICAST,MULTICAST,BROADCAST | PAKETLER UNICAST,MULTICAST,BROADCAST OLARAK GÖNDERİLEBİLİR | PAKETLER UNICAST,MULTICAST VE ANYCAST OLARAK GÖNDERİLEBİLİR | AZ PAKET TRAFİĞİ |
ADRES ÇÖZÜMLEME | ARP PROTOKÜLÜ KULLANILIR | KOMŞU KEŞFİ MESAJLARI KULLANILIR | AZ PAKET TRAFİĞİ |
IPV6 YAPISI
Dünya üzerinde bir kullanıcıya bir IP adresi bile düşmemektedir. Bunun dışında internetin hızla gelişmesi, IPv4 adreslerinin dağıtımının iyi organize edilememesi yeni bir adresleme protokolünün gerekliliğini ortaya çıkarmıştır. Bu protokol IPv6’dır ve yeni protokol 128 bitlik yapısıyla ihtiyacın çok üzerinde adresleme olanağı sunmaktadır. Bu sayede IPv6 kullanıcılara toplamda 2128 (340 282 366 920 938 463 374 607 431 768 211 456) adet adres olanağı sunmaktadır. Onaltılık (hexadecimal) tabanda yazılır. Örnek bir IPv6 adresi şu şekildedir: FDEC:0000:0000:0000:0000:0000:0000:0001 ya da FDEC::1 FDEC:0000:0001:0000:0002:0000:0000:0001 IPv6’da kısaltma yaparken sadece arada kalan her 16 bitlik kısımların hepsi 0 olduğunda ilk örnekteki gibi bir kısaltma yapılabilir.IPV4 DEKİ TEMEL SORUNLAR
IPv4’ün tasarım aşamasında, protokol uç uca (E2E) bağlantı modeli olduğu için içerisinde güvenlik protokolleri içermesi planlanmamış olsa da güvenliğin sadece uç noktalarda sağlanacağı tasarlanmıştır. IPv6’ya geçilmesinin sebebi IPv4’te oluşan bir takım sorunlardan kaynaklanmaktadır. Bu sorunlar, IPv4’teki adreslerin tükenmesi, hiyerarşi desteğinin yeterli olmaması, karmaşık yapıdaki ağ yapılandırması ve IPv4’te oluşan güvenlik açıklarıdır. IPv4, teorik olarak 232 sayıda adresleme sunmuş olsa da verimsiz adres atamasından dolayı hiçbir zaman bu sayıya ulaşılamamıştır. Ne kadar iyileştirme çabaları yapılmış olsa da internet kullanımındaki hızlı artış artık IPv4’ün yetersiz kalmasına sebep olmuştur.
IPv4 VE IPv6 ARASINDAKİ BENZER GÜVENLİK TEHDİTLERİ
IPv6’ya tamamen geçişin A.B.D. için 25 milyar dolara ve ülkemiz için yaklaşık 1 milyon TL’ye mal olacağı öngörülmektedir. Uzmanlara göre bu maliyetin bu kadar yüksek olmasının sebebi, yeni protokole geçiş aşamasında ağ elemanlarının yeni protokole uyum sağlaması sürecinde ağ güvenliğinde ciddi sıkıntılar oluşması ve oluşan güvenlik açıklarından saldırganların yararlanması ile ortaya çıkacak maddi kayıplar uzman personel eksikliği ve geçişte pek çok ağın, üzerinde kullanılan yazılımların değiştirilecek olmasıdır. IPv4 için mevcut olan bütün saldırılar aynı zamanda IPv6 için de tehlike arz etmektedir. Bu tehditler, paket koklama saldırıları, ortadaki adam saldırıları, bellek taşırma saldırıları, uygulama seviyesi saldırıları, DHCP saldırıları ve sahte cihazlardır [19,22,23,24]. Bu saldırı türleri alt başlıklarda açıklanmıştır.
4.1. Paket Koklama Saldırısı (Package Sniffing Attacks) Bu saldırı türü, ağdaki veri paketlerinin yetkisiz erişim sonucu elde edilip incelenmesidir. Bu saldırı türü iki protokolde de etkili olabilmektedir. Fakat IPSec özelliğinin IPv6’da zorunlu olması dolayısıyla paket ele geçirilmiş olsa bile şifreli olacağından bu durum IPv6’da güvenli bir durum arz etmektedir. IPSec özelliğinin IPv6’da zorunlu olmasına rağmen kullanımı isteğe bağlı olduğundan dolayı bu durum güvenlik açığı oluşturabilmektedir. IPSec, kriptografik protokollerden oluşan ve ağ trafiğinde verinin şifrelenerek iletimini bununla birlikte veriye erişecek kullanıcının yetkilendirmesini sağlayan güvenlik protokolüdür.
4.2. Ortadaki Adam Saldırıları (Men in the Middle Attacks) Bu tür saldırılarda, saldırganlar IP adresini taklit edebildiklerinden, saldırgan kurbana paket göndererek gerekli yetkileri kazandıktan sonra, kendisine gönderilen verileri yönetebilir ya da başka bir yere yönlendirebilmektedir. Yeni protokolde IPSec kullanımı zorunlu olmasına rağmen, IPv4 ve IPv6 protokollerinin beraber kullanıldığı mekanizmalarda IPSec kullanımı zorunlu değildir ve bu saldırı türüne karşı savunmasız kalmaktadır.
4.3. Taşırma Saldırıları (Attacks of overflow) Taşırma saldırıları ile saldırgan, hedefin kaldırabileceğinden çok fazla istek göndererek, karşı tarafın hizmet vermesini engelleyebilir. Bu saldırı, farklı cihazların aynı anda aynı hedefe istek göndermesi ile olur. Bu tür saldırılar hem eski hem de yeni protokolün adres yapısıyla bağdaşmadığından yeni protokolde herhangi bir değişiklik olmayacaktır. IPv6’da adres uzayının büyümüş ve sahte IP’lerin tespitinin zorlaşmasından dolayı, bu tür saldırıları da tespit etmek zorlaşmıştır.
4.4. Uygulama Seviyesindeki Saldırılar (Attacks on Application level) Bir sistemin güvenliği sadece basit bir elemana bağlı olmamakla beraber güvenlik birçok basamak ve katmandan oluşmaktadır. Örneğin sahte IP (IP spoofing), paket koklama (packet sniffing) gibi saldırılar uygulama seviyesi türü saldırılardır. Bu tür saldırılara, uygulama seviyesinde uygulanan solucan dağılımı veya hafıza taşırma gibi saldırı türlerini de eklenebilir. Uygulama seviyesi türü saldırılar ağ topolojisi ile bağlantılı olmadığı için bu tür saldırılara IPv6’da engel olunamamaktadır. Sadece IPSec yetkilendirme ve şifreleme özelliği ile belli bir seviyede güvenlik sağlamaktadır. Solucan dağılımı türü saldırılarda, solucanlar yayılmak için büyük miktardaki bant genişliğinden yararlanmakta ve ağdaki cihazlara kısa sürede bulaşmaktadır. Bu yüzden iletişim aksamakta servis kalitesi düşmektedir. Genel olarak bakıldığında ise saldırıların veya güvenlik açıklarının en fazla bu seviyede olması beklenmektedir.
4.5. DHCP Saldırıları ve Sahte Cihazlar (Attacks of DHCP and Fake Devices) IPv6’da DHCP sunucusu ortadan kaldırılmış fakat buna karşılık gelen yapıda yeni bir güvenlik mekanizması eklenmemiştir. Hedef cihaz için sahte olarak üretilen komşu istek paketleri, paketin komşu tanımlama önbelleğinin üzerine yazılarak IPv4’teki gibi güvenlik açığı oluşturmaktadır. Sahte cihazlardan kasıt da ağ üzerinde yetkisi olmayan ve DHCP sunucusu, istemci, kablosuz erişim noktası gibi tanımlanabilen cihazlardır. IPv6’da bu değişmemiştir fakat IPSec öile cihazların yetkilendirmesi ve bu tür sahte cihaz ataklarının engellenmesi mümkün olacaktır.
SON OLARAK IPV6’DA OLUŞABİLECEK GÜVENLİK TEHDİTLERİ (PROBABLE SECURITY THREADS on IPv6)
Bu protokolde ve uygulamaların da meydana gelebilecek güvenlik açıkları, aşağıda alt başlıklar halinde verilmiştir. 5.1. Keşif Saldırıları (Attacaks of Reconnaissance) Bu tür saldırılar normalde saldırı türü olmaktan çok, saldırının analiz aşaması olarak nitelendirilebilir. Çeşitli tarama yöntemleri kullanılarak ağdaki IP adresleri tespit edilir ve daha sonra port taraması gibi diğer işlemler uygulanır. IPv6’da alt ağ sayısı IPv4’e göre çok daha fazla olduğu için yeni protokol bu tür saldırılara karşı daha dayanıklı hale gelmektedir. Fakat IPv6’daki çok gönderim adresleri saldırgan tarafından ağdaki cihazları tespit etmek amacıyla kullanılabilir.
5.2. Ek Başlıklarla İlgili Tehditler IPv6 ağlarındaki yönlendiricilerin gelen paketlerdeki yönlendirme başlıklarını işleyebilme özelliğinDen dolayı yetkisiz erişim gibi güvenlik tehditlerine önlem alınamamaktadır. Örneğin saldırgan, ağdaki bir cihaza yasaklı olan bir paketi gönderdiğinde, normal şartlarda yasaklı paketin süzülmesi gerekirken, cihaz paketi yönlendirmektedir. Böylece saldırgan sahte IP adresi kullanarak hedef cihaza hizmet dışı bırakma saldırısında bulunabilmektedir.
5.3. Geçiş Mekanizmaları (Transition Mechanisms) IPv4 protokolünün halen kullanılmakta olması ve IPv6’ya geçişte uyum sorunlarının baş göstermesi sonucu bu sürecin beklenilenden daha uzun sürecektir. Uyum sorunlarını ortadan kaldırmak için birden fazla geçiş mekanizması oluşturulmuştur. Fakat oluşturulan mekanizmaların yanlış yapılandırılması sonucu tahmin edilemeyen güvenlik açıkları oluşabilecektir. Yalın IPv4 ve IPv6 kullanan sunuculara göre ikili yığın kullanan sunucuların DOS (Denial of Service attacks) saldırılarından daha çok etkilendiği ve solucan yayılımına karşı ise yüksek risk taşıdığı rapor edilmiştir. DOS (Denial of Service attacks) saldırıları, hedef sunucuya sürekli istek gönderilir ve sunucu isteklere cevap veremeyecek hale getirilerek hizmet vermesi engellenerek yapılır. Tünelleme geçiş yönteminde, IPv6 desteği verildiği durumlarda trafiğin filtrelenmesi mümkün olmadığından, IPv4 adresi doğrulaması dışında kimlik doğrulaması yapılamamasının güvenlik açığı oluşturduğu belirtilmiştir. Teredo geçiş yönteminde, RFC 4380’de meydana gelebilecek güvenlik açıkları; NAT yapısında delik açma, ortadaki adam saldırısı, servis kullanan ve kullanmayan uçlar olarak sıralanmaktadır. Aynı zamanda uygulamalarda güvenlik açıkları meydana gelebilmektedir. Çevrimiçi yöntemlerde paket başlıklarında yapılan değişikliklerden dolayı, farklı protokoller ile kullanılma veya kullanılmama durumu güvenlik açıklarına sebebiyet verdiği, IPSec kullanarak şifreleme ve doğrulama uygulamalarında sıkıntılar çıktığı rapor edilmiştir.
5.4. Kötücül Yazılım Tehditleri (Malware Threats) Kötücül yazılım, bilgisayar ağları için tehdit oluşturan, virüs, solucan, casus yazılım, truva atı olarak adlandırılan zararlı yazılımlara verilen genel bir addır. Kötücül yazılımlar yayılmak en çok interneti kullanarak kullanıcılara zarar vermektedir. Her gün dünya genelinde iki yüz elli milyon yeni kötücül yazılım üretildiği kaydedilmiştir. Bu tür yazılımlar, salgın birer hastalık gibi bilgiayar ağlarında yayılmakta ve zararları ciddi maddi kayıplara yol açmaktadır. Her kötücül yazılımın farklı karakteristik saldırı yöntemleri vardır. Dosya paylaşımı, taşınabilir bellek paylaşımı bu yöntemlerden sadece birkaçıdır. Bununla birlikte kullanıcıların konu hakkında yeterli bilgiye sahip olmaması bu tür yazılımların amaçlarına ulaşmasını kolaylaştırmaktadır. Kötücül yazılımlar yayılmak için ağ sistemlerini kullandığından, IPv6 ağlarında IPv4 ağlarından farklı olarak çok az bir yayılım hızı farkıyla yine aynı şekilde ağda yayılmaktadır ve yeni protokolde güvenlik sağlaamamıştır. Yayılım hızının daha yavaş olması yeni protokolde adres uzayının genişlemiş olması ve buna bağlı olarak 128 bitlik adres yapısından dolayı ağdaki düğümlerde adreslerin daha geç çözülmesidir.
5.5. Tünel Mekanizmaları Saldırıları (Attacks of Tunnel Mechanizms) Yeni protokole geçiş mekanizmalarından biri olan tünelleme mekanizması ile IPv4 ve IPv6 protokolleri bir arada çalışabilmekte, bir protokol diğer protokolün içinde paketlenerek iletim sağlanmaktadır. Tünelleme mekanizmasında IPv6’nın IPv4 içinde taşınmasında saldırgan kendini gizleme yöntemini kullanabilmektedir. Şu anda kullanılan güvenlik duvarları kapsüllenmiş ağ trafiğini filtreleyememektedir. Böylece saldırgan IPv4 üzerinden IPv6 paketlerine filtrelenmeden erişebilmekte, bu da güvenlik açığına sebebiyet vermektedir.
5.6. IPv6 Ağlarında Solucan Dağılımı (Worm Distribution on IPv6 Networks) Solucanlar, ağda bir güvenlik açığı olması durumunda ağa sızarak sistem kaynaklarına erişim hakkı sağlamaya çalışan kötücül yazılımlardır. Yayılım için ağdaki bant genişliğini kullanırlar ve güvenlik açığının derecesine bağlı olarak ağdaki cihazlara yayılırlar. Yayılımı gerçekleştirebilmek için sızdıkları sistemden sonra yeni konak arayarak diğer sistemlere de sızmaya çalışırlar. Solucanlar, internet solucanları, e-posta solucanları, P2P solucanları, anlık mesajlaşma solucanları olarak gruplandırılabilir.
EVET ARKADAŞLAR KONUMUZUN SONUNA GELDİK.UMARIM BİLGİLENDİRİCİ VE GÜZEL OLMUŞTUR.HİÇ BİR SİSTEM,HİÇ BİR PROTOKOL,HİÇ BİR SİTE TAM ANLAMIYLA VE KUSURSUZ BİR ŞEKİLDE GÜVENLİ DEĞİLDİR.HEPİNİZE İYİ GÜNLER DİLER,GÜZEL FORUMLAR DİLERİM. KENDİNİZE İYİ BAKIN
Moderatör tarafında düzenlendi: